Indésirables & Firewall

Support Debian
#41

Non, et alors ? Il n’est pas non plus installé sous une Debian mais sous SME de Synology :slightly_smiling:

#42

alors c’est mort pour fail2ban :stuck_out_tongue:

quoique peut-être pas :

myhost.fr/synology/38-tutoriel/67-fail2ban

forum.synology.com/enu/viewtopic … 250f280827

#43

[quote=“agentsteel”]alors c’est mort pour fail2ban :stuck_out_tongue:

quoique peut-être pas :

myhost.fr/synology/38-tutoriel/67-fail2ban

forum.synology.com/enu/viewtopic … 250f280827[/quote]

Merci, bon à savoir même si dans mon cas ce sont des inscriptions indésirables sur mon site que fail2ban ne détecterait pas :slightly_smiling:

#44

ah oui, mais là c’est une autre problématique…

#45

[quote=“loreleil”]Il semblerait que je n’obtienne pas tout à fait le même retour … ?

:~$ whois 219.248.35.83 ...[/quote]
Oui, je soupçonne que c’est un peu normal que tu n’obtiennes pas tout à fait le même retour entre un whois 219.248.35.83 et un whois 219.254.35.83. :eusa-whistle: :mrgreen:

[quote=“loreleil”]Ici deux réseaux possibles.

  • 219.248.0.0 - 219.251.255.255 (/14)
    […]
  • 219.248.32.0 - 219.248.35.255 (/22)
    […]
    Voilà, à présent si je souhaite bloquer ces deux réseaux :013 et je le veux … :whistle: alors je prends en référence (au format CDIR) ce qui donne :
    219.248.0.0/14
    219.248.32.0/22
    J’ai tout bon … ? non :017 [/quote]
    Quelle utilité de bloquer le deuxième ? Comme tu l’as marqué toi même quelques lignes plus haut, le 219.248.32.0/22 est inclus dans le 219.248.0.0/14.

[quote=“loreleil”]Et une fois de plus, qu’est ce qui prévaut ?

Une recherche sur le site countryipblocks.net/tools/search-ips/ mon whois ?[/quote]
Je n’ai aucune idée de la fiabilité de ce site, ils ont l’air sérieux mais ne sont probablement pas à l’abri d’une erreur. Les serveurs whois quant à eux sont la référence (puisqu’ils sont maintenus par les mêmes organisations qui sont chargées de distribuer les plages d’IP). Mais ça n’a pas le même but : avec whois tu ne peux que retrouver le bloc auquel une adresse appartient, alors qu’avec ton site tu peux retrouver tous les blocs pour un pays donné. À toi de voir ce que tu veux faire précisément. :wink:

#46

Salut,

Depuis deux jours j’ai bloqué UA, RU, MY, CN, PL dans .htaccess et je n’ai pas eu une seule tentative alors que j’en avais plusieurs par jour.
Ce n’est pas encore une preuve mais cela commence à y ressembler :041

EDIT. L’expérience vient de se terminer à l’instant. Manifzstement cette liste n’est pas mise à jour suffisament vite. :mrgreen:

#47

[quote=“PascalHambourg”]Où as-tu vu cela ?

Parce que ces règles sont dans les tables raw et mangle alors que tes commandes n’affichent que la table par défaut (filter), contrairement à la commande iptables-save qui affiche par défaut toutes les tables actives.
[/quote]
Ici Pascal.

Je l’avais oublié iptables-save. S’il n’y avait que cela … :033

[quote=“syam”]Oui, je soupçonne que c’est un peu normal que tu n’obtiennes pas tout à fait le même retour entre un whois 219.248.35.83 et un whois 219.254.35.83.

Quelle utilité de bloquer le deuxième ?

À toi de voir ce que tu veux faire précisément.[/quote]

J’ai confondus avec l’exemple présenter plus haut. Ici c’est bien made in Korea qui m’inspire pour l’heure, entre autre … :mrgreen:

Je ne le savais pas. Chose acquise à présent.

Ne pas me laissai emmerdé par ces bons citoyens … :whistle:

#48

[quote=“ggoodluck47”]Salut,

Depuis deux jours j’ai bloqué UA, RU, MY, CN, PL dans .htaccess et je n’ai pas eu une seule tentative alors que j’en avais plusieurs par jour.
Ce n’est pas encore une preuve mais cela commence à y ressembler :041

EDIT. L’expérience vient de se terminer à l’instant. Manifzstement cette liste n’est pas mise à jour suffisament vite. :mrgreen:[/quote]

Oui ça semble une boçnne solution pour un serveur web.
Il te faudrait un script qui récupère régulièrement les listes, les compilent et envoie le .htaccess à la racine du site que tu souhaites protéger.

[quote=“loreleil”]
@lol

 iptables -A INPUT -m set --set blok1 src -j DROP

Je ne crois pas que ce soit la bonne méthode. Le fichier list est juste là pour remplir la règle ipsec.
iptables lit ensuite la règle, pas la liste. Il y a d’ailleurs une commande pour mettre à jour la règle.

Pour répondre à la suggestion de fail2ban: l’objectif n’est pas le même:
D’un côté tu bloque à posteriori les attaquants; De l’autre à priori. Tu es gagnant en terme de charge (réseau et serveur).

Par contre ce n’est pas valable pour moi de bloquer à priori, j’ai des sites sur mon serveur qui reçoivent des clients “légitimes” des ces pays douteux (pour ce qui est du nombre de tentatives de piratages bien sur…). Je ne peux donc pas bloquer les ip par pays, ce serait une perte commerciale; Et nous ne sommes pas dans une période ou nous pouvons faire la fine bouche…